基于交叉链接和关联的漏洞数据库的信息物理系统安全
目录摘要
数据分析的最新进展促进了动态数据驱动的漏洞评估,其中包含来自漏洞警报存储库以及网络物理系统(CPS)层网络和标准化枚举的数据。然而,目前的漏洞评估过程大多是手动进行的。但是扫描数据量巨大,需要进行大量的信息处理和分析推理,考虑到人工漏洞分析的不精确性,这是无法满足的。在本文中,我们建议使用交叉链接和相关的数据库来收集、提取、过滤和可视化多个现有存储库的漏洞数据,据此可以推断CPS的漏洞信息。基于我们本地更新的数据库,我们对收集到的CPS漏洞数据进行了深入的案例研究,以探讨CPS漏洞的趋势。为此,我们的目标是在关键基础设施(CIS)保护中支持更高水平的脆弱性意识和后风险分析练习自动化。
面临问题
当前的CPS漏洞分析面临两方面的问题:
- 主观的、以人为中心
现有的脆弱性分析方法,如CVSS计算需要一些主观和手动的输入,这些输入是基于对漏洞属性的定性判断,如可利用性、范围和影响。依靠专家个人的知识可能会带来大量的费用、主观评价甚至互相矛盾的结果。 - 静态的漏洞分析生命周期
静态分析对CPSs等安全关键系统的安全管理构成了限制,因为恶意尝试可能会使用连续分析取得突破之间出现的新漏洞。相反,动态漏洞分析允许在发现和公开漏洞的时间间隔内进行缓解,并为漏洞补丁在漏洞发布之前可用和部署留出时间。
系统概述
我们建议支持动态脆弱性分析方法,采用交叉链接数据库管理技术,分析从多个漏洞警报库检索的数据,重点是CPS网络组件。这种数据分析可以与相关技术进一步结合,从而产生组件级和系统级的漏洞实例。随后,检索到的漏洞实例提供基于规则的评分系统,使用通用的工业评分标准,如CVSS,自动推导漏洞严重性评分。
研究步骤
- 漏洞数据库准备
应用信息融合算法从多个存储库中提取漏洞属性到一个本地数据库中,包括漏洞实例存储库和安全相关的标准枚举。使用CVEID作为索引,我们构建了一个漏洞报告数据库,其中包含CVE的基本报告,以及来自多个存储库的交叉引用,这些存储库指向相应的制造商网站和标准化枚举。 - CPS资产数据库准备
CPS资产信息是使用信息检索算法从多个存储库中提取的,包括制造网站和系统配置相关枚举,如CPE和通用配置枚举(CCE)。 - 资产数据和脆弱性数据之间的相关性
基于知识的推理方法被应用于自动抽象脆弱性属性,用于概念建模和信息关联。
实验结果
我们用四种CPS资产类型,即RTU、MTU、PLC和HMI/SCADA,测试了我们的关联和交联数据库方法。选择这四种资产类型是因为它们是关键基础设施控制系统中的核心资产。
- 与MTU和RTU相比,PLC和HMI/SCADA的漏洞被公开的更多
- 总体CPS的平均漏洞得分为6.97(约7.0),这意味着“高”的严重性
- 三种类型的威胁,即执行代码、拒绝服务和溢出,似乎是最典型的可能成为针对CPS资产的攻击的类型。
- 漏洞类型"访问控制"在CPS资产中出现的频率最高。
- 虽然应用软件和操作系统是漏洞的主要来源,但可能会有更多的硬件设备嵌入这些易受攻击的组件。